G-Archiver kradnie dane dostępowe do GMail? - aktualizacja

10-03-2008, 22:25

G-Archiver to program umożliwiający tworzenie kopii zapasowych na dysku lokalnym z poczty zgromadzonej na koncie GMail. Aplikacja byłaby całkiem przydatna użytkownikom poczty elektronicznej Google, gdyby nie ukryta funkcja przesyłania poufnych danych osób korzystających z G-Archiver do twórcy tego programu.

Dustin Brooks, jeden z czytelników Coding Horror, wykorzystując program do inżynierii wstecznej oprogramowania - Reflector, postanowił sprawdzić co kryje się w zamkniętym kodzie źródłowym aplikacji G-Archiwer, którą właśnie testował. Ku swojemu zaskoczeniu najpierw odkrył w niej poufne dane (nazwę użytkownika oraz hasło) Johna Terry'ego - twórcy programu - służące do logowania się na skrzynkę GMail.

Następnie jego uwagę przykuł fakt, że aplikacja ta wysyła e-maile na skrzynkę GMail Terry'ego. Listy te zawierały poufne dane dostępowe do kont GMail osób korzystających z G-Archiver.

Cała sytuacja na tyle zaniepokoiła Dustina, że postanowił podejrzeć, co znajduje się na skrzynce GMail Terry'ego. Wykorzystał do tego umieszczone w kodzie programu przez jego twócę dane dostępowe.

Zrzut z konta twórcy G-Archiver. Źródło: codinghorror.com
fot. - Zrzut z konta twórcy G-Archiver. Źródło: codinghorror.com
Jak się okazało zgromadzonych tam było 1.777 e-maili z danymi dostępowymi do GMail, należącymi do osób, które skorzystały z programu G-Archiver. Dustin twierdzi, że po tym odkryciu usunął ze skrzynki Terry'ego wszystkie listy z poufnymi danymi użytkowników jego programu, zmienił mu hasło dostępowe do skrzynki i wysłał do Google prośbę o usunięcie tego podejrzanego konta.

Historia brzmi nieco fantastycznie, mimo wszystko stanowi całkiem dobry przykład na to, jak możliwość wglądu w kod źródłowy oprogramowania może przyczynić się do poprawy bezpieczeństwa jego użytkowników. Gdyby G-Archiver miał otwarty kod źródłowy zapewne dużo szybciej udałoby się odkryć podejrzane zamiary jego twórcy.

Aktualizacja:

Twórcy G-Archiver na swojej stronie przepraszają i wyjaśniają, że powyższy przypadek to błąd jednego z członków ekipy pracującej nad programem. Podobno zapomniał usunąć z publicznej wersji programu części kodu wykorzystywanego przy testach.

Z witryny G-Archiver zniknął także odnośnik do bieżącej wersji programu. Jego autorzy radzą wszystkim dotychczasowym użytkownikom usunięcie G-Archiver z komputerów i zmianę hasła do ich kont GMail. Następna wersja oznaczona symbolem 1.0 będzie już pozbawiona tej wady - czytamy na stronie programu.


Następny artykuł » zamknij

Źródło: Coding Horror
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031